![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Ein Million Bank-Konten \u00fcbernehmen, obwohl moderne Authentifizierungsverfahren genutzt werden? Durch eine fehlerhafte Implementierung ist das einem Sicherheitsforscher in den USA wohl gelungen. Die Schwachstelle ist inzwischen aber geschlossen. <\/p>\n
<\/p>\n
OAuth ist ein offenes Protokoll, das die Autorisierung in einer einfachen und standardisierten Methode von Web-, Mobil- und Desktop-Anwendungen erm\u00f6glicht. Dieser Mechanismus wird von Unternehmen wie Amazon, Google, Facebook, Microsoft und Twitter verwendet, um es den Benutzern zu erm\u00f6glichen, Informationen \u00fcber ihre Konten mit Anwendungen oder Websites Dritter zu teilen. F\u00fcr Internetbenutzer bietet die die M\u00f6glichkeit, Websites oder Anwendungen Zugang zu ihren Informationen auf anderen Websites zu gew\u00e4hren, ohne diesen die Passw\u00f6rter f\u00fcr den Zugriff auf die betreffenden Konten geben.<\/p>\n OpenID Connect 1.0 ist eine Identit\u00e4tsschicht, die auf dem dem OAuth 2.0-Protokoll aufsetzt. Das erm\u00f6glicht es Clients, die Identit\u00e4t des Endbenutzers auf der Grundlage der von einem Autorisierungsserver durchgef\u00fchrten Authentifizierung zu \u00fcberpr\u00fcfen und grundlegende Profilinformationen \u00fcber den Endbenutzer auf interoperable und REST-\u00e4hnliche Weise zu erhalten. OpenID Connect erm\u00f6glicht es Clients aller Art, einschlie\u00dflich webbasierter, mobiler und JavaScript-Clients, Informationen \u00fcber authentifizierte Sitzungen und Endbenutzer anzufordern und zu erhalten.<\/p>\n Ein Sicherheitsforscher hat sich dann eine der bekanntesten Online-Banking-Anwendungen vorgenommen (die Bank wird aus Sicherheitsgr\u00fcnden nicht genannt, wegen der nationalen ID tippe ich auf ein US-Institut). Deren Online-Banking-Zugang erm\u00f6glicht f\u00fcr die Authentifizierung und Autorisierung von Benutzern per OAuth 2.0-Protokoll und OpenID Connect 1.0. <\/p>\n Der Autorisierungsserver der Bank akzeptiert eine Authentifizierungsanforderung, die Parameter enth\u00e4lt, die sowohl durch die OAuth 2.0- als auch durch die OpenID Connect 1.0-Spezifikationen definiert sind. Nutzer m\u00fcssen Ihre Anmeldedaten, die sowohl Benutzername\/nationale ID als auch Passwort enthalten, eingeben, um sich bei Ihrem Internet-Banking-Konto anzumelden. Wer bereits identifiziert und in der Bank registriert ist, kann sich mit Benutzername\/nationaler ID und Passwort im Konto einloggen.<\/p>\n In Deutschland kommen dagegen andere Anmeldedaten f\u00fcr Banken zum Einsatz und die PSD-Richtlinie erfordert die zyklische Best\u00e4tigung der Authentifizierung durch eine generierte TAN. <\/p>\n<\/blockquote>\n \u00dcber den Weg \"Passwort vergessen\" versuchte der Sicherheitsforscher dann, ob er eine Authentifizierung ohne Anmeldedaten, nur mit OAuth 2.0\/OpenID Connect 1.0 hin bekommt. Die Angabe seiner Mobilfunknummer klappte nicht, aber die Angabe seiner nationalen ID reichte aus, um Zugang zum Konto zu bekommen. <\/p>\n Eine unsachgem\u00e4\u00dfe Implementierung des OAuth-Protokolls war der Grund f\u00fcr diese Sicherheitsl\u00fccke. In diesem Fall wiest der Entwickler dem Benutzerkonto ein Zugriffstoken zu, bevor ein OTP (2FA-Code) an die Telefonnummer geschickt wird, um es zu \u00fcberpr\u00fcfen. Wenn sich die nationale ID des Opfers in der Datenbank befindet, wird sie durch OpenID authentifiziert, und der Benutzer wird mit einem Zugriffstoken im URL-Fragment zur\u00fcck zur Anwendung umgeleitet. <\/p>\n Der Sicherheitsforscher hat dann eine nationale ID-Datenbank verwendet und einen praktischen Exploit geschrieben, um mehr als eine Million Bankkonten zu hacken. Der Fall wurde als Lehrbeispiel ver\u00f6ffentlicht, um zu zeigen, wie eine fehlerhafte Implementierung trotz OAuth 2.0-Protokoll und OpenID Connect 1.0. eine gro\u00dfe Sicherheitsl\u00fccke aufrei\u00dft. Details sind in diesem Artikel<\/a> abrufbar.<\/p>\nDie Verwendung moderner Authentifizierungsverfahren wie OAuth 2.0 und OpenID Connect 1.0 kann Risiken bergen, wie ein Sicherheitsforscher demonstrieren konnte. Er hat seine Erkenntnisse in diesem Medium-Beitrag<\/a> offen gelegt, nachdem die Schwachstelle geschlossen wurde. Ich bin \u00fcber nachfolgenden Tweet<\/a> auf das Thema aufmerksam geworden.<\/p>\n
![\"Bankkontenübernahme\"](\"https:\/\/i.imgur.com\/vqre8E0.jpg\"\/ "\\"Bankkontenübernahme\\"")
<\/a><\/p>\nOAuth 2.0\/OpenID Connect 1.0<\/h2>\n
Fehlerhafte Implementierung legt Zug\u00e4nge offen<\/h2>\n
\n
\n